← volver
CVE-2022-39341

OpenFGA Authorization Bypass

CVSS 5.9 MEDIUMEPSS 0.9%CWE-285
En resumen

OpenFGA, un sistema de autorización, tenía una falla donde los caracteres comodín en las reglas de permisos podían ser eludidos, permitiendo acceso no autorizado. Esto importa porque socava la seguridad de aplicaciones que dependen de OpenFGA para proteger operaciones sensibles.

Detalle técnico

Las versiones de OpenFGA anteriores a 0.2.4 contienen una vulnerabilidad de elusión de autorización afectando relaciones de tupleset con definiciones de comodín (`*`) en el modelo de autorización. Los atacantes pueden explotar esto para eludir controles de acceso intencionales sin requerir escalada de privilegios o bypass de autenticación, resultando en acceso no autorizado a recursos protegidos.

Resumen generado y traducido por IA a partir de la descripción oficial.
OpenFGA is an authorization/permission engine. Versions prior to version 0.2.4 are vulnerable to authorization bypass under certain conditions. Users who have wildcard (`*`) defined on tupleset relations in their authorization model are vulnerable. Version 0.2.4 contains a patch for this issue.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
Productos afectados
openfga · openfga

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/openfga/openfga/commit/b466769cc100b2065047786578718d313f52695bhttps://github.com/openfga/openfga/releases/tag/v0.2.4https://github.com/openfga/openfga/security/advisories/GHSA-vj4m-83m8-xpw5